UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.3. Současně oznámila, že nadcházející větší vydání 24.04-2.0 bude mít modernější webový prohlížeč.
Ploopy po DIY trackballech či sluchátkách představuje nový externí DIY trackpoint se čtyřmi tlačítky Bean. Obsahuje snímač Texas Instruments TMAG5273, spínače Omron D2LS-21 a řadič RP2040, používá firmware QMK. Schémata jsou na GitHubu; sadu lze předobjednat za 69 kanadských dolarů (bez dopravy a DPH).
Mozilla před dvěma týdny na svém blogu oznámila, že díky Claude Mythos Preview bylo ve Firefoxu nalezeno a opraveno 271 bezpečnostních chyb. Včera vyšel na Mozilla Hacks článek s podrobnějšími informacemi. Z 271 bezpečnostních chyb mělo 180 chyb vysokou závažnost, 80 chyb střední závažnost a 11 chyb nízkou závažnost. Celkově bylo v dubnu ve Firefoxu opraveno 423 bezpečnostních chyb. Čísla CVE nemusí být přiřazována jednotlivým chybám. CVE-2026-6784 například představuje 154 bezpečnostních chyb.
Před týdnem zranitelnost Copy Fail. Dnes zranitelnost Dirty Frag. Běžný uživatel může na Linuxu získat práva roota (lokální eskalaci práv). Na většině linuxových distribucí vydaných od roku 2017. Aktuálně bez oficiální záplaty a CVE čísla [oss-security mailing list].
Ačkoli je papež Lev XIV. hlavou katolické církve a stojí v čele více než miliardy věřících po celém světě, také on někdy řeší všední potíže. A kdo v životě neměl problémy se zákaznickou linkou? Krátce poté, co nastoupil do úřadu, musel papež se svou bankou řešit změnu údajů. Operátorka ale nechtěla uvěřit, s kým mluví, a Svatému otci zavěsila.
Incus, komunitní fork nástroje pro správu kontejnerů LXD, byl vydán ve verzi 7.0 LTS (YouTube). Stejně tak související LXC a LXCFS.
Google Chrome 148 byl prohlášen za stabilní. Nejnovější stabilní verze 148.0.7778.96 přináší řadu novinek z hlediska uživatelů i vývojářů. Vypíchnout lze Prompt API (demo) pro přímý přístup k AI v zařízení. Podrobný přehled v poznámkách k vydání. Opraveno bylo 127 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Richard Hughes oznámil, že po společnostech Red Hat a Framework a organizacích OSFF a Linux Foundation, službu Linux Vendor Firmware Service (LVFS) umožňující aktualizovat firmware zařízení na počítačích s Linuxem, nově sponzorují také společnosti Dell a Lenovo. Do dnešního dne bylo díky LVFS provedeno více než 145 milionů aktualizací firmwarů od více než 100 různých výrobců na milionech linuxových zařízení.
Americké technologické společnosti Microsoft, Google a xAI souhlasily, že vládě Spojených států poskytnou přístup k novým modelům umělé inteligence (AI) před jejich uvedením na trh. Oznámila to americká vláda, která tak bude moci prověřit, zda modely nepředstavují hrozbu pro národní bezpečnost. Oznámení podtrhuje rostoucí obavy Washingtonu z rizik spojených s výkonnými AI systémy. Americké úřady chtějí v rámci předběžného přístupu
… více »Společnost Valve zveřejnila (GitLab) nákresy ovladače Steam Controller a puku. Pro všechny, kdo by jej chtěli hacknout nebo modifikovat, případně pro ně navrhnout nějaké příslušenství. Pod licencí Creative Commons (CC BY-NC-SA 4.0).
http://domain.cz?data="><script>alert(document.cookie)</script>a domyslite si náledky ako "mierne upravený" skript odosiela sešny na útočníkov email. FireFox to zatiaľ neadoptoval a môžete kľudne vyháčkovať aj tento server. Prv než začnete nadávať na FF, tak oni zas medzi prvými zavádzali politiku bezpečnosti skriptov ktorá sa vtedy ešte neujala, ale dnes už to je štandart ktorý sa nazýva Content Security Policy (skrátene CSP). Ako to už býva u webových technológií zvykom, prechod nieje jednoduchý.
Medzi <head>...</head> vložíte v najjednuchšom prípade <meta http-equiv="Content-Security-Policy" content="default-src \'self\'>Čo zabezpečí, že všetko sa bude načítavať len z danej domény a externé skripty sa nespustia. Osobne používam skript ktorý všetky skripty a CSS vloží priamo do kódu, čím sa eliminujú ďalšie TCP požiadavky ktoré sú dosť drahé na čas ale pri CSP tam musím vložiť aj nonce, ktoré generujem náhodne pri každom načítaní stránky cez:
$nonce = base64_encode (random_string (nejaké_číslo_väčšie_ako_nula));Reťazec je prehananý cez base64, pretože je to WEB SAFE, alebo ľudsky povedané prehliadače akceptujú hocičo, ale keď to je v base64, tak nevyhadzujú ani upozornenia, žeby mohlo byť niečo zle. Oni to píšu len do konzoly a ak ju nemáte zapnutú, tak si toho ani nevšimnete.
<script> // kód </script>a odkazy na skripty:
<script src="moj_skript.js"></script>vloží do hlavičky:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'nonce-Wm5ZdzZqWTVqN1VVaTl4cA=='>a skript vloží medzi:
<script nonce="Wm5ZdzZqWTVqN1VVaTl4cA=="> // kód </script>Je možné namiesto nonce použiť aj HASH skriptu, nepoužívam to a nepokladám to za tak bezpečné ako "nonce" a má to trochu aj iné problémy, ale to si nájde v dokumentácií, alebo začnite na wikipedii.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.:
http://domain.cz?data="><script>alert(document.cookie)</script>
Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script> a jeho obsah se vykoná.
skript odosiela sešny na útočníkov emailPravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.
môžete kľudne vyháčkovať aj tento serverA to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.
21.10.2016 17:12
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Chyba aplikace Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům. Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!Kde přesně je tam ta cookie?
21.10.2016 18:14
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
21.10.2016 20:57
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
21.10.2016 23:34
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
23.10.2016 03:35
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
23.10.2016 16:55
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Ale technika je to zajimava, o tom zadna. Dik!
21.10.2016 11:41
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Čo na to markeťáci?
21.10.2016 18:15
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
22.10.2016 07:26
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.
21.10.2016 21:59
Bedňa | skóre: 34
| blog: Žumpa
| Horňany